用户指南

文档中心 > 容器服务 > 权限管理 > 服务授权相关角色权限说明

服务授权相关角色权限说明

最近更新时间:2020-08-03 16:57:49

在使用腾讯云容器服务(Tencnet Kubernetes Engines,TKE)的过程中,为了能够使用相关云资源,会遇到多种需要进行服务授权的场景。每种场景通常对应不同的角色所包含的预设策略,其中主要涉及到 TKE_QCSRoleIPAMDofTKE_QCSRole 两个角色。本文档接下来将分角色展示各个授权策略的详情、授权场景及授权步骤。

TKE_QCSRole 角色

开通容器服务后,腾讯云会授予您的账户 TKE_QCSRole 角色的权限。该容器服务角色默认关联多个预设策略,为获取相关权限,需在特定的授权场景下执行对应的预设策略授权操作。操作完成之后,对应策略会出现在该角色的已授权策略列表中。TKE_QCSRole 角色默认关联的预设策略包含如下:

预设策略 QcloudAccessForTKERole

授权场景

当您已注册并登录腾讯云账号后,首次登录 容器服务控制台 时,需前往“访问管理”页面对当前账号授予腾讯云容器服务操作云服务器(CVM)、负载均衡(CLB)、云硬盘(CBS)等云资源的权限。

授权步骤

  1. 登录 容器服务控制台,选择左侧导航栏中的【集群】,弹出【服务授权】窗口。
  2. 单击【前往访问管理】,进入角色管理页面。
  3. 单击【同意授权】,完成身份验证后即可成功授权。如下图所示:

权限内容

  • 云服务器相关
    权限名称 权限说明
    cvm:DescribeInstances 查询服务器实例列表
    cvm:*Cbs* 云硬盘相关权限
  • 标签相关
    权限名称 权限说明
    tag:* 标签相关所有功能
  • 负载均衡相关
    权限名称 权限说明
    clb:* 负载均衡相关所有功能
  • 容器服务相关
    权限名称 权限说明
    ccs:DescribeCluster 查询集群列表
    ccs:DescribeClusterInstances 查询集群节点信息

预设策略 QcloudAccessForTKERoleInOpsManagement

授权场景

该策略默认关联 TKE_QCSRole 角色,开通容器服务并完成 TKE_QCSRole 角色授权后,即可获得包含日志在内的各种运维相关功能的权限。

授权步骤

该策略与 预设策略 QcloudAccessForTKERole 同时授权,无需额外操作。

权限内容

日志服务相关

权限名称 权限说明
cls:listTopic 列出指定日志集下的日志主题列表
cls:getTopic 查看日志主题信息
cls:createTopic 创建日志主题
cls:modifyTopic 修改日志主题
cls:deleteTopic 删除日志主题
cls:listLogset 列出日志集列表
cls:getLogset 查看日志集信息
cls:createLogset 创建日志集
cls:modifyLogset 修改日志集
cls:deleteLogset 删除日志集
cls:listMachineGroup 列出机器组列表
cls:getMachineGroup 查看机器组信息
cls:createMachineGroup 创建机器组
cls:modifyMachineGroup 修改机器组
cls:deleteMachineGroup 删除机器组
cls:getMachineStatus 查看机器组状态
cls:pushLog 上传日志
cls:searchLog 查询日志
cls:downloadLog 下载日志
cls:getCursor 根据时间获取游标
cls:getIndex 查看索引
cls:modifyIndex 修改索引
cls:agentHeartBeat 心跳
cls:getConfig 获取推流器配置信息

预设策略 QcloudAccessForTKERoleInCreatingCFSStorageclass

授权场景

使用腾讯云文件存储(CFS)扩展组件,能够帮助您在容器集群中使用文件存储。首次使用该插件时,需通过容器服务进行文件存储中文件系统等相关资源的授权操作。

授权步骤

  1. 登录 容器服务控制台,选择左侧导航栏中的【扩展组件】,进入“扩展组件”管理页面。
  2. 在“扩展组件”页面上方选择地域及集群后,单击【新建】。
  3. 在“新建扩展组件”页面,当扩展组件首次选择为 “CFS 腾讯云文件存储” 时,单击页面下方的【服务授权】。如下图所示:
  4. 在弹出的“服务授权”窗口中,单击【访问管理】。
  5. 在“角色管理”页面中,单击【同意授权】并完成身份验证即可成功授权。

权限内容

文件存储相关

权限名称 权限说明
cfs:CreateCfsFileSystem 创建文件系统
cfs:DescribeCfsFileSystems 查询文件系统
cfs:DescribeMountTargets 查询文件系统挂载点
cfs:DeleteCfsFileSystem 删除文件系统

预设策略 QcloudCVMFinanceAccess

授权场景

当您需要购买包年包月云硬盘时,需要为角色 TKE_QCSRole 添加该策略以配置支付权限,否则可能会因为没有支付权限导致创建基于包年包月 storageclass 的 PVC 失败。

授权步骤

  1. 登录访问管理控制台,选择左侧导航栏的【角色】。
  2. 在“角色”列表页面中,单击 TKE_QCSRole 进入该角色管理页面。如下图所示:
  3. 选择 “TKE_QCSRole” 页面中的【关联策略】,并在弹出的“风险提醒”窗口中进行确认。
  4. 在弹出的“关联策略”窗口中,找到 QcloudCVMFinanceAccess 策略并勾选。如下图所示:
  5. 单击【确定】即可完成授权。

权限内容

权限名称 权限说明
finance:* 云服务器财务权限

IPAMDofTKE_QCSRole 角色

IPAMDofTKE_QCSRole 角色为容器服务的 IPAMD 支持服务角色。被授予该角色的权限后,在本文描述的授权场景下需进行预设策略关联操作。完成操作后,以下策略会出现在该角色的已授权策略列表中:

QcloudAccessForIPAMDofTKERole:容器服务 IPAMD 支持(TKE IPAMD)对云资源的访问权限。

预设策略 QcloudAccessForIPAMDofTKERole

授权场景

在首次使用 VPC-CNI 网络模式创建集群时,需要首先对容器服务 IPAMD 支持(TKE IPAMD)对云资源的访问权限进行授权,以便能够正常使用 VPC-CNI 网络模式。

授权步骤

  1. 登录 容器服务控制台,单击左侧导航栏中【集群】。
  2. 在“集群管理”页面中,单击集群列表上方的【新建】或【使用模板新建】。
  3. 在“创建集群”页面的设置“集群信息”步骤,选择“容器网络插件”中的【VPC-CNI】时,单击【服务授权】。如下图所示:
  4. 在弹出的“服务授权”窗口中,单击【前往访问管理】。
  5. 在“角色管理”页面中,单击【同意授权】并完成身份验证即可成功授权。

权限内容

  • 云服务器相关
    权限名称 权限说明
    cvm:DescribeInstances 查看实例列表
  • 标签相关
    权限名称 权限说明
    tag:GetResourcesByTags 通过标签查询资源列表
    tag:ModifyResourceTags 批量修改资源关联的标签
    tag:GetResourceTagsByResourceIds 查看资源关联的标签
  • 私有网络相关
    权限名称 权限说明
    vpc:DescribeSubnet 查询子网列表
    vpc:CreateNetworkInterface 创建弹性网卡
    vpc:DescribeNetworkInterfaces 查询弹性网卡列表
    vpc:AttachNetworkInterface 弹性网卡绑定云服务器
    vpc:DetachNetworkInterface 弹性网卡解绑云服务器
    vpc:DeleteNetworkInterface 删除弹性网卡
    vpc:AssignPrivateIpAddresses 弹性网卡申请内网 IP
    vpc:UnassignPrivateIpAddresses 弹性网卡退还内网 IP
    vpc:MigratePrivateIpAddress 弹性网卡内网 IP 迁移
    vpc:DescribeSubnetEx 查询子网列表
    vpc:DescribeVpcEx 查询对等连接
    vpc:DescribeNetworkInterfaceLimit 查询弹性网卡配额
    vpc:DescribeVpcPrivateIpAddresses 查询 VPC 内网 IP 信息
目录